A partir de la stratégie « cloud first » d’Engie, Pierre-Antoine Falaux-Bachelot, Groupe Lead Architect Infrastructure, décrit pourquoi les choix technologiques très structurant liés au cloud, ont des implications souvent sous-estimé par les grandes entreprises. Il prend notamment pour exemple l’harmonisation de la sécurité menée avec Zscaler.
Alliancy. Quels sont les prérequis d’une stratégie « cloud first » ?
Pierre-Antoine Falaux-Bachelot. La priorité est surtout d’éviter de résumer une telle stratégie à une vision où le cloud devient une sorte d’extension virtuelle des datacenters de l’entreprise. Cela fait bien sur les plaquettes marketing, mais ce n’est pas ce qui apportera au niveau de tout un groupe des gains intéressants. La plupart des grandes DSI ont maintenant assez de recul pour savoir qu’on ne peut tout simplement pas reproduire les usages passés en mode cloud sans que cela ait des conséquences budgétaires importantes par exemple. Faire du lift & shift* de datacenters on-premise vers du cloud n’a rien d’une stratégie cloud first ! Il faut plutôt revoir à la fois la vision financière, celle des usages et l’architecture pour qu’une telle transformation ait du sens.
Quel a été le cheminement d’Engie en la matière ?
Pierre-Antoine Falaux-Bachelot. La volonté d’aller vers plus de cloud est présente chez Engie depuis des années. C’est surtout la généralisation du mode SaaS pour les applications qui a vraiment fait bouger les lignes. Ensuite, il y a 2 ans et demi environ, nous avons décidé de migrer vers la messagerie Microsoft Office365 et cela a amené des prises de conscience supplémentaires en cascade. La vision à moyen terme était avant tout d’améliorer la collaboration entre nos salariés et donc aller le plus possible vers des outils « grands publics » qui seraient bien adoptés. Le moteur de la transition a donc été des outils comme Yammer, Skype et SharePoint Online, qui concernent tout le monde dans l’entreprise. Cette « colonne vertébrale » a permis de convaincre, et d’aborder plus sereinement les autres implications des usages cloud.
Quelles sont ces implications ?
Pierre-Antoine Falaux-Bachelot. Pour la DSI, il s’agit de changer de fonctionnement pour générer des gains qui dépasse le seul périmètre d’une application ou d’un service en particulier. En retravaillant les applications, depuis leur conception et jusqu’à leur mise en place, et en utilisant l’effet de levier lié à l’usage des microservices, on arrive à simplifier le déploiement, mais aussi la gestion quotidienne des applications ou encore la sécurité. Dorénavant une application doit être conçue pour intégrer une approche de services managés. Les maintenances ne doivent plus penser séparément le front -office, du middle et du back-office. C’est un nouveau monde.
Vos équipes étaient-elles parées à ces changements ?
Pierre-Antoine Falaux-Bachelot. C’est une philosophie différente qui demande de nouvelles compétences et connaissances au sein de la DSI. Dans notre cas, nous avons voulu en priorité faire évoluer nos équipes internes. Tout le monde est allé en formation chez AWS par exemple. Il s’agissait moins d’acquérir un bagage technique auprès de ce prestataire, que d’appréhender le nouveau mindset qui devait venir avec cette stratégie. Il faut que tout le monde dans les équipes IT comprenne bien par exemple ce qu’implique de penser « infrastructure as a code ». Tout devient réutilisable et il faut apprendre à capitaliser systématiquement sur le passé pour accélérer ses projets – et potentiellement ceux des autres.
Pour faciliter cette évolution, il y a un vrai intérêt à fonctionner avec des petites équipes, pour permettre de partager les connaissances beaucoup plus efficacement et rapidement, en personnalisant au maximum les prises de conscience. Recruter de nouveaux talents peut être un bon déclencheur, pour poser les premiers jalons, mais à eux-seuls ils ne feront pas changer en profondeur les usages d’une entreprise.
Qu’est-ce qui peut aider les entreprises à accélérer ?
Pierre-Antoine Falaux-Bachelot. Dans le cas d’Engie, nous avons mis en place un centre d’excellence ad-hoc. Le but n’est pas de reproduire ce qui se faisait par le passé dans les centres de compétences IT standardisées, mais de faciliter la centralisation des connaissances et des pratiques par exemple pour accélérer l’usage et le réemploi des microservices.
Un autre point clé est de limiter au maximum la multiplication des applications tierces, non-cloud, qui vont au final complexifier la gestion. Il faut adapter ses règles, ses dogmes, pour utiliser les spécificités du Cloud. Il existe par exemple des protections « cloud-natives » qui sont disponibles sur le marché et qui conviennent bien mieux que leurs équivalents on-premise historique. Il faut profiter du cloud pour chercher l’harmonie, la simplification plutôt que l’empilement des anciennes protections.
Un exemple ?
Pierre-Antoine Falaux-Bachelot. Il nous a paru très intéressant de choisir une solution cloud pour permettre à nos milliers de collaborateurs répartis sur des dizaines de pays, d’accéder toujours de la même façon et avec le même niveau de sécurité à des applications elles-mêmes dans le cloud. Quand nous avons sélectionné Zscaler pour ce faire, l’objectif initial était d’harmoniser la sécurité des flux internet, des proxy et filtrages, pour toutes les petites entités dont Engie faisait l’acquisition et qui avaient des moyens limités en matière d’infrastructure. On était dans une philosophie vraiment compatible avec « l’esprit cloud » : test fast, fail fast, et cela a parfaitement fonctionné.
Nous nous sommes rendu compte que nous pouvions faire de cette initiative un véritable point de ralliement pour dérouler le reste de notre stratégie, car tous les types d’application sont concernés… Dans les faits, cela créé un point de « centralisation » en termes de sécurité, tout en conservant l’autonomie des entités. Et puis du point de vue de la DSI, une solution cloud en la matière évite de se compliquer la vie sur les questions de performance et de planning de capacité, ce qui permet d’être beaucoup plus serein pour mener le reste de la transformation.
Et pour les utilisateurs au niveau individuels, quels changements ?
Pierre-Antoine Falaux-Bachelot. Au-delà de la cohérence que cela amène en matière de sécurité, il y a un vrai sujet d’expérience utilisateur (UX). Avec un système harmonisé d’authentification autour d’une stratégie cloud-first, on évite de perdre les collaborateurs en cas de mobilité interne par exemple. Ils n’ont pas à changer leurs usages. Et comme nous avons connecté à Zscaler les applications extérieures, mais aussi nos applications internes, c’est l’ensemble du parcours utilisateur qui est fédéré autour d’une utilisation intuitive. Cela évite beaucoup de stress et d’incompréhension. Ils n’ont après tout pas de temps à perdre là-dessus.
Comme toujours, quelques beaux exemples peuvent faciliter énormément l’acceptation et le « marketing » de tels changements. Dans notre cas, à Singapour, nos utilisateurs se servaient énormément de SharePoint et signalaient des lenteurs pour accéder aux données, hébergées en Europe. Avec notre projet, nous avons divisés le temps d’accès par quatre et la visibilité du gain a été très forte auprès des salariés.
S’il n’y avait qu’un seul conseil à retenir pour mettre en œuvre une stratégie cloud first, quel serait-il ?
Pierre-Antoine Falaux-Bachelot. Le point d’attention est de s’assurer du changement dans la philosophie des opérations. Système, réseau, application : tout doit dorénavant être « mixte » et cela doit se ressentir à la fois dans l’organisation formelle et dans les compétences des individus, ainsi que leur état d’esprit. Au risque sinon de créer des frictions. En effet, le cloud est toujours vendu sur le principe du « tout est disponible en 3 clics » mais ce n’est qu’une image de simplicité. Les changements sont majeurs en réalité. Le meilleur exemple est celui de la sécurité : il faut changer ses façons de faire, oublier la protection des grands ensembles pour aller protéger au plus proche des composantes du système d’information. Et les développeurs doivent avoir conscience de ce changement de paradigme. Quand ils créent un composant, ils doivent prendre le réflexe de surveiller et limiter les flux qui vont y pénétrer et en ressortir. C’est cette doctrine que diffuse notre centre d’excellence. Et comme la conception, l’implémentation et la gestion du cycle de vie d’un composant n’est plus fragmenté entre différentes équipes, c’est aussi une opportunité : une personne multidisciplinaire gagne énormément en maitrise et en efficacité. Cela tombe bien : c’est exactement ce qui fait la force des jeunes talents d’aujourd’hui que nous devons attirer.
*La migration d’une application sans faire de re-design spécifique pour un environnement cloud